Web攻防之应急响应(一)

目录

1. 前言

2. 靶场准备

3. 应急场景

4. 应急实战

4.1 查看服务器开放端口

4.2 通过远程链接工具连接服务器 

4.3 寻找中间件日志

 4.4. 查看并下载日志

 4.5 初步分析日志

 4.6 查看安全分析报告

4.6 从被篡改的页面开始

4.6 通过修改的文件时间进一步分析日志信息

 4.7 通过D盾进行后门查杀并进行分析

5. 报告编写


1. 前言

        本篇是对自己学过的应急响应的知识的一个回顾,主要包含入侵后门检测,日志分析,暗链检测,在弱鸡师傅的基础上结合我个人的学习和实战经验写的靶机应急博文.

实战web入侵后门检测,日志分析,暗链检测icon-default.png?t=N7T8https://flowus.cn/share/a0846006-88f5-4f6a-b8a1-a30fd4cbaba8?code=BE2FT6
 

2. 靶场准备

        注意经过我的测试,使用靶机时最好打开桥接模式,不然无法无法方便的查看ip地址,进行进一步的连接.

应急实战靶场:

Ubuntu14.04.6

        通过网盘分享的文件:wbt64yjxyserver.zip 链接: 百度网盘 请输入提取码 提取码: dvx9 --来自百度网盘超级会员v3的分享

账号: root

密码: admin!@#45

3. 应急场景

已知本次应急的中间件为tomcat,服务器为Linux

本次的应急响应场景,以及具体要求

管理员发现发现网站从百度点击进去后,跳转到菠菜页面。

1、查杀webshell并判断马子类型   

2、判断暗链

3、查到木马

4、找到攻击者的ip地址并进行溯源

5、分析日志 总结本次攻击者的攻击手法与入口

        

4. 应急实战

4.1 查看服务器开放端口

确认服务器开放了22端口

netstat -anpt # 查看开放服务以及端口

ifconfig # 查看服务器的ip地址

4.2 通过远程链接工具连接服务器 

        这里根据个人喜好吧,我比较喜欢finalShell,需要了解这个工具的师傅可以看我这篇博文

Win下相较于Xshell功能更齐全的FinalShell SSH安装使用教程-CSDN博客文章浏览阅读711次,点赞14次,收藏8次。FinalShell是一款集成SSH工具、服务器管理、远程桌面加速等功能的软件,支持Windows、macOS、Linux多平台。它不仅具有SSH客户端的功能,还提供了服务器网络和性能实时监控、内存和CPU性能监控、进程管理器、快捷命令面板等强大的开发和运维工具,充分满足用户需求。与Xshell相比,FinalShell的优势在于提供了更多的实用功能,且完全免费,而Xshell是一款专业权威的SSH客户端,界面美观,但需要付费使用,且不支持图形显示,免费版有功能限制。https://blog.csdn.net/weixin_72543266/article/details/141531170

4.3 寻找中间件日志

        如果有日志的话分析起来就会方便很多,优先寻找日志,根据已知中间件及系统,因为我使用的是finalShell所以文件是一目了然的,并且因为常用中间件,所以日志目录也记得比较熟,不熟的师傅可以搜一下,或是记录一下,当然也可以看我整理的里面有常见的中间件日志目录位置.

熟练的话直接输入下面的命令即可

cd /usr/local/tomcat8/logs

        当然如果不确认tomcat版本以及目录有没有改变的话,可以依次输入命令进行查看,这里我因为使用的finalShell,可以实时查看目录,所以就不需要每次去查看当下目录的文件了

cd ls -la # 每次到一个目录下使用
cd /usr # 第一个进入目录需要加/ 后面不需要
cd local
cd tomcat8
cd logs 

 4.4. 查看并下载日志

        注意,一个中间件的日志信息很多,而我们需要找的日志是访问日志,作用是存储外界人员访问,请求资源等日志信息,在tomcat中localhost_access_log.YYYY-MM-DD.txt  格式的日志是我们需要注意的日志,不知道日志分类的可以看这篇文章

Tomcat 日志分类以及详解_tomcat日志级别-CSDN博客icon-default.png?t=N7T8https://blog.csdn.net/qq_34556414/article/details/108444580#:~:text=%EE%80%80tomcat%EE%80%81%20%EE%80%80%E5%AF%B9%E5%BA%94%E6%97%A5%E5%BF%97%E7%9A%84%E9%85%8D%E7%BD%AE%E6%96%87%E4%BB%B6%EE%80%81%EF%BC%9Atomcat%E7%9B%AE%E5%BD%95%E4%B8%8B%E7%9A%84/conf/logging.properties%E3%80%82通过命令查看日志信息或是直接使用finalShell查看日志信息

cat localhost_access_log.2023-03-15.txt

通过finalShell工具进行下载日志到本地,这样就更好分析了

 4.5 初步分析日志

        这里使用360星图进行初步分析日志,依次进行下面的操作

可以将日志文件放在工具的默认路径下,可以将日志文件路径按照如图所示的操作

日志存放路径示例

 最后点击start.bat即可

分析完后,会出现一个result的文件夹,并出现如图所示的三个文件示例

 4.6 查看安全分析报告

        虽然使用了工具,但是工具只是方便快捷的快速梳理,肯定还是存在误报的.打开日志的安全分析报告进行初步分析,通过对安全报告的初步分析,通过对其中初步检测出的信息,进行手动分析

         通过手动分析访问日志,以及通过报告其实初步只能判断进行了敏感目录扫描,因为网站被挂了暗链,所以网站被进行篡改的话,需要上传文件,并且tomcat8其实是有文件上传这个洞的,如果不知道的话,也没关系就按照正常思路,扫描目录,是要找敏感文件或是后台位置,到这里我们的思路基本断了

4.6 从被篡改的页面开始

        虽然基本上简单通过工具进行分析后,想要近一步分析的话,还是需要知道黑客都做了什么,首先我们知道黑客进行篡改了页面,拿就从篡改的页面开始进行分析,找到webapps/ROOT目录下面的index.jsp页面,根据经验找到存放index.jsp文件夹

cd /usr/local/tomcat8/webapps/ROOT

查看index.jsp页面的最后一次的修改时间 

ls -l # 查看目录下的文件
ls -l --full-time index.jsp # 查看文件的修改时间

         打开篡改的页面,发现恶意代码,这里的baidu.com代表篡改跳转的页面,这段代码的作用是,只要是通过白名单的搜索来的访问index.jsp页面就会跳转到百度.

4.6 通过修改的文件时间进一步分析日志信息

         通过修改时间搜索日志信息,在日志中全局搜索 13:   这里注意要带:,不然无法找到,因为13这个数字的话太多了无法找到.通过发现日志路径和请求方式 POST /manager/html/upload 

        这里一看就是上传了马子,并且分析一下前面很多重复的路径的401路径,打过中间件tomcat的话,这个是很典型的在进行弱口令爆破.

        上传马子后,肯定回去访问进行连接的,这里访问了1.jsp, 1.jsp疑似为马子.

 4.7 通过D盾进行后门查杀并进行分析

        确定了马子,这种事情交给工具就ok了

        通过finalShell将D盾-32位的tgz文件直接拖入

cd /usr/local/tomcat8 
tar zxvf hm-linux-386.tgz -C ./ # 解压到当前目录下

给hm加上管理员权限,并查看工具的帮助目录,加不加-h都可以

chmod +x hm
./hm -h # 查看工具基本功能

./hm scan /usr/local/tomcat8/webapps # 进行扫描

命中了三个后门 

查看扫描结果 

 cat result.csv

        发现三个疑似后门文件,通过手动确认以及根据扫描确认为哥斯拉后门.

        学过java的师傅和打过站点或是进行过漏洞复现的师傅的话知道,1.jsp是通过war包上传后,然后解压得到的 

 其中使用./index.jsp是进行了隐藏后门

分别进入目录进行查看文件的时间

通过ls查看是看不到隐藏的后门的,但是通过ls -la 却可以看到

当我分析到这里的时候发现有点不对劲,于是重新打开日志进行分析 

         重新搜索了13:16,想到了,查看文件的是最后一次的修改时间,因此还是需要看日志,才能分析出整个攻击流程,差点被误导了

5. 报告编写

        攻击者的流程: 首先通过Tomcat弱口令拿到网站权限,上传1.war,解压访问/1/1.jsp,修改index.jsp页面,上传.index.jsp后门

修复:修改为强口令、实施访问控制和文件上传验证、增强监控和日志记录、进行应用安全审计、移除后门文件、定期更新和打补丁、制定应急响应计划、部署Web应用防火墙,并定期进行代码审计和安全测试,以提高系统安全性和响应能力。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/409575.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

如何给10000张图片快速打标签,一招教你节省上千小时!看这期就够了!免费素材管理插件分享

如果给1万张图片打标签,你会怎么做?如果你用过eagle或者billfish的话,那么你一定知道,他们都没有支持用AI来自动给素材打标签。 一旦我们素材多起来的时候,手动输入,键盘都要打冒烟了,效率太低…

企业级NoSql数据库Redis集群

数据库主要分为两大类:关系型数据库与 NoSQL 数据库 关系型数据库 ,是建立在关系模型基础上的数据库,其借助于集合代数等数学概念和方法来处理数据库 中的数据主流的 MySQL 、 Oracle 、 MS SQL Server 和 DB2 都属于这类传统数据库。 …

中仕公考怎么样?2025国考报名流程介绍!

现在是八月下旬,距离2025年国考的开始日期越来越近,今天来给大家分享一下国考报名的流程,希望大家提前做个了解。 报考时间(参考去年) 职位表发布:24年10月中旬 网上报名:24年10月中下旬 报名确认:24年…

昂科烧录器支持Melexis迈来芯的位置传感器MLX90365KDC

芯片烧录行业领导者-昂科技术近日发布最新的烧录软件更新及新增支持的芯片型号列表,其中Melexis迈来芯的位置传感器MLX90365KDC已经被昂科的通用烧录平台AP8000所支持。 MLX90365KDC是第II代Triaxis位置传感器IC。 这款单片器件可凭借其表面的集磁点(IMC)&#xf…

ai变声:视频怎么变音?分享6个语音变声器,视频变声不再难!

想过如何让自己的直播内容更吸引人吗?你是否希望通过变声器来打造独特的声音效果?或者,如何用创意声音提升观众的互动体验呢?随着直播行业的不断发展,每位主播都在努力寻找吸引观众的独特方式,而变声器正是…

鸿蒙南向开发:测试框架xdevice核心组件

简介 xdevice是OpenHarmony中为测试框架的核心组件,提供用例执行所依赖的相关服务。 xdevice主要包括以下几个主要模块: command,用户与测试平台命令行交互模块,提供用户输入命令解析,命令处理。config,…

【机器学习】梯度下降算法

梯度下降算法 这篇博客更加详细,以下只是我个人的理解 梯度下降算法原理讲解——机器学习-CSDN博客 梯度下降算法是一种优化算法,通过梯度下降找到函数最小值时的自变量值。 其基本思想是沿着梯度方向的反方向更新参数,直到逼近函数的极值…

DaxPay:一套开源支付网关系统【送源码】

项目介绍 DaxPay是一套开源支付网关系统,已经对接支付宝、微信支付、云闪付相关的接口。可以独立部署,提供接口供业务系统进行调用,不对原有系统产生影响 特色功能 封装各类支付通道的接口为统一的接口,方便业务系统进行调用&am…

wps题注为表格或图片编号

word中为表格添加题注: 问题:多次或多人编辑导致--序号不能联动更新(域代码不一致,如图) 所以是否可以批量替换word里的域代码?如果可以这问题就解决了————失败 解决办法: 如图,复制表头&…

uni-app 手记集。

1、uni-app 是一个使用 Vue.js 开发的前端应用的框架&#xff0c;所以不会Vue.js的小伙伴可以先去看看Vue.js的基础教学。 2、.vue文件结构 <template><div class"container"></div> </template><script type"text/ecmascript-6&q…

Code Llama: Open Foundation Models for Code论文阅读

整体介绍 Code Llama 发布了3款模型&#xff0c;包括基础模型、Python 专有模型和指令跟随模型&#xff0c;参数量分别为 7B、13B、34B 和 70B。这些模型在长达 16k tokens 的序列上训练。都是基于 Llama 2。 作者针对infilling (FIM) 、长上下文、指令专门做了微调 long-con…

内网穿透的应用-戴森球计划利用cpolar内网穿透实现好友异地远程联机游戏

文章目录 游戏简介1. 下载MOD2.配置cpolar内网穿透3. 主机开启联机3.1 玩家加入游戏 4. 配置固定的TCP端口5. 游玩体验 游戏简介 《戴森球计划》是一款融合了科幻冒险与经营管理元素的优秀游戏。玩家将在浩瀚宇宙中探索未知星球&#xff0c;建立从零开始的工业帝国&#xff0c…

流媒体服务器如何让WebRTC支持H.265,同时又能支持Web js硬解码、软解码(MSE硬解、WASM软解)

为了这一整套的解决方案&#xff0c;调研研发整整花费了差不多半年多的时间&#xff0c;需达成的目标&#xff1a; 流媒体服务器端不需要将H.265转码成H.264&#xff0c;就能让Chrome解码播放H.265&#xff1b; 注意&#xff1a;现在很多市面上的软硬件通过转码H.265成H.264的…

xss-labs靶场6-10关

第六关 使用a标签&#xff0c;发现a标签可以。 "><a hreFjavascript:alert(aa)>aa</a> 点击aa 第七关 使用双写绕过 1"><ScscriptRipt>alert(1)</ScscriptRipt> 第八关 将javascript:alert(1)进行编码 然后将编码输入再次点击链…

day8JS-作用域

1. 变量的作用域(变量函数) 作用域是变量的可作用范围&#xff0c;变量只有在自己的作用域下才会生效。 函数会产生作用域&#xff0c;在函数内定义的变量只能在函数内使用。 2. 作用域分类 局部作用域&#xff1a; 函数内定义的变量和形参的作用域就是局部作用域&#xff1b;这…

基于SpringBoot的酒店管理系统

你好呀&#xff0c;我是计算机学姐码农小野&#xff01;如果有相关需求&#xff0c;可以私信联系我。 开发语言&#xff1a;Java 数据库&#xff1a;MySQL 技术&#xff1a;SpringBoot框架技术 工具&#xff1a;IDEA/Eclipse、Navicat、Maven 系统展示 首页 用户注册界面…

rabbitMQ安装与简单demo

安装 mac安装有了brew很方便&#xff0c;windows的可参考 win10 安装rabbitMQ详细步骤 brew install rabbitmq启动 brew services start rabbitmq关闭 brew services stop rabbitmq出了问题之后可以重启一下 brew services restart rabbitmqsome issue 某些库下载超时 比…

学习笔记七:基于Jenkins+k8s+Git+DockerHub等技术链构建企业级DevOps容器云平台

基于Jenkinsk8sGitDockerHub等技术链构建企业级DevOps容器云平台 安装Jenkins在kubernetes中部署jenkins创建名称空间创建pv,上传pv.yaml创建pvc创建一个sa账号通过deployment部署jenkins更新资源清单文件把jenkins前端加上service&#xff0c;提供外部网络访问 配置Jenkins获取…

PeriodWave: Multi-Period Flow Matching for High-Fidelity Waveform Generation

preprintKorea Seoul, Korea 文章目录 abstractmethodFlow Matching for Waveform GenerationHigh-frequency Information Modeling for Flow Matching demo page&#xff0c; PeriodWave 三者最好&#xff0c;而且能把原声中的噪声去掉&#xff0c;GAN一类声码器做不到的。 Pe…

Unity编辑器扩展之Project视图扩展

内容将会持续更新&#xff0c;有错误的地方欢迎指正&#xff0c;谢谢! Unity编辑器扩展之Project视图扩展 TechX 坚持将创新的科技带给世界&#xff01; 拥有更好的学习体验 —— 不断努力&#xff0c;不断进步&#xff0c;不断探索 TechX —— 心探索、心进取&#xff01…